XSS уязвимость

@cooliyev · Регистрация: 13.02.2015

Студворк — интернет-сервис помощи студентам

Добрый день, при добавлении в урл таких запросов
?d=1&search=the'"()%26%25<acx><ScRiPt%20>alert(9925)</ScRiPt>&view=search
?%27"--></style></scRipt><scRipt>alert(0x0012C0)</scRipt>
?id=1?%27"--></style></scRipt><scRipt>alert(0x0012C0)</scRipt>&page=2&view=not_kont
скрипты обрабатываются и в данных случаях появляются нежелательные окошки.
В htaccess добавил такую строку RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR], но уязвимость осталась. Подскажите, пожалуйста, как избавиться от уязвимостей в урлах?

ytf · 08.12.2017, 16:55

xss - миф
просто нужно экранировать слова функцией mysql_real_escape_string

@cooliyev · 08.12.2017, 17:31 **[ТС]**

Дело в том, что они экранируются в самой форме. если в поиск вставить такое, то поиск ничего не найдет. а если добавить в адресную строку, то получается уязвимость

ytf · 08.12.2017, 17:41

Сообщение от cooliyev

появляются нежелательные окошки

окошки пояляются из-за кода, а не из-за урл

Добавлено через 1 минуту

Сообщение от cooliyev

получается уязвимость

какая уязвимость?

@BKmm · 08.12.2017, 21:42

Сообщение от cooliyev

скрипты обрабатываются

Покажите, как вы эти запросы обрабатываете? Вероятно, никак. Если в урле можно прописать даже теги

Добавлено через 1 минуту

Сообщение от cooliyev

Подскажите, пожалуйста, как избавиться от уязвимостей в урлах?

От тегов вот эта функция спасает http://www.php.su/strip_tags

@_BoGdaN_ · 13.12.2017, 16:32

Сообщение от cooliyev

как избавиться от уязвимостей в урлах?

По моему в этом ЧПУ спасает

Добавлено через 2 минуты
То есть, мы будем создавать пути по которым пользователь может обратиться к серверу, и если такого пути нету мы можем просто остановить выполнение скрипта.

@Jewbacabra · 13.12.2017, 17:06

ytf, xss не миф, и для защиты от него следует использовать htmlspecialchars. Escape_string сюда мешать не надо

@_BoGdaN_ · 13.12.2017, 18:16

Jewbacabra, а это спасет же?

Сообщение от _BoGdaN_

То есть, мы будем создавать пути по которым пользователь может обратиться к серверу, и если такого пути нету мы можем просто остановить выполнение скрипта.

@BKmm · 13.12.2017, 18:39

_BoGdaN_, а для того что бы узнать есть такой путь или нет в базу следует обращаться? Ведь так? Сайт то у нас динамический. SQL-инъекции возможны.

@Jewbacabra · 13.12.2017, 19:52

_BoGdaN_, то что вопросе больше на гет параметры похоже чем на путь

ytf · 13.12.2017, 20:26

1. при получении сообщения от пользователя я удаляю из него лишние теги

PHP
1
$text = strip_tags($text, "<p><div><br><a><b><strong>");

2. перед добавлением в базу данных значения всех полей у меня экранируются функцией mysql_real_escape_string
или скриптом https://github.com/plohoyav/php_mysql_upros

@BKmm · 15.12.2017, 09:54

Сообщение от ytf

1. при получении сообщения от пользователя я удаляю из него лишние теги

Да лучше все удалять. Например, в комментариях кто-то не закроет тег и вся верстка полетит к черту.

ytf · 15.12.2017, 10:08

Сообщение от BKmm

в комментариях кто-то не закроет тег

можно сделать проверку закрытия тегов,
можно сделать проверку модераторами, увидят что полетела верстка - удалят сообщение

@little endian · 21.12.2017, 16:31

Сообщение от Jewbacabra

ytf, xss не миф, и для защиты от него следует использовать htmlspecialchars. Escape_string сюда мешать не надо

вот правильный ответ
а то некоторые умельцы (причём даже на пхпклабе) советуют в сыром виде пихать в БД, а дескать при выводе уже пусть решают - чё как отображать

только лучше свою ф-ю написать, чтобы и -- \/ ` % _ кодировать

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@cooliyev 0 / 0 / 1 Регистрация: 13.02.2015 Сообщений: 42

	XSS уязвимость 08.12.2017, 15:13. Показов 798. Ответов 13 Метки нет (Все метки) Добрый день, при добавлении в урл таких запросов `?d=1&search=the'"()%26%25<acx><ScRiPt%20>alert(9925)</ScRiPt>&view=search` `?%27"--></style></scRipt><scRipt>alert(0x0012C0)</scRipt>` `?id=1?%27"--></style></scRipt><scRipt>alert(0x0012C0)</scRipt>&page=2&view=not_kont` скрипты обрабатываются и в данных случаях появляются нежелательные окошки. В htaccess добавил такую строку RewriteCond %{QUERY_STRING} (\<\|%3C).script.(\>\|%3E) [NC,OR], но уязвимость осталась. Подскажите, пожалуйста, как избавиться от уязвимостей в урлах? 0

ytf 276 / 259 / 185 Регистрация: 15.08.2017 Сообщений: 1,483
	08.12.2017, 16:55
	xss - миф просто нужно экранировать слова функцией mysql_real_escape_string 0

@cooliyev 0 / 0 / 1 Регистрация: 13.02.2015 Сообщений: 42
	08.12.2017, 17:31 [ТС]
	Дело в том, что они экранируются в самой форме. если в поиск вставить такое, то поиск ничего не найдет. а если добавить в адресную строку, то получается уязвимость 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	13.12.2017, 17:06
	ytf, xss не миф, и для защиты от него следует использовать `htmlspecialchars`. Escape_string сюда мешать не надо 0

@BKmm 10 / 46 / 7 Регистрация: 28.11.2017 Сообщений: 97
	13.12.2017, 18:39
	_BoGdaN_, а для того что бы узнать есть такой путь или нет в базу следует обращаться? Ведь так? Сайт то у нас динамический. SQL-инъекции возможны. 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	13.12.2017, 19:52
	_BoGdaN_, то что вопросе больше на гет параметры похоже чем на путь 0